Promulgan ley marco de ciberseguridad: Estas son las nuevas reglas para las empresas esenciales

El Presidente Gabriel Boric promulgó este martes la nueva Ley Marco de Ciberseguridad, junto a la ministra del Interior, Carolina Tohá, y destacó que con esta normativa “Chile se convierte en el primer país de América Latina y El Caribe en tener una Agencia Nacional de Ciberseguridad y un marco regulatorio concreto”.

El mandatario también señaló que la norma “servirá para tener mejores herramientas para proteger derechos de las personas en el ciberespacio, para prevenir y enfrentar casos como la suplantación de identidad, envío de virus, sabotajes, cortes de servicios, spam, entre muchos otros incidentes”.

Respecto de la política nacional de ciberseguridad 2023-2028 que impulsa la actual adminsitración señaló que va a “permitir el desarrollo de la industria de la ciberseguridad en Chile lo que también es una oportunidad de empleos e inversión, a través de la investigación científica aplicada a las necesidades que tiene nuestro país para proteger a las personas y las organizaciones de amenazas cibernéticas”.  

Ley marco

La nueva normativa crea una legislación marco de ciberseguridad con la instauración de la Agencia Nacional de Ciberseguridad (ANCI). Esta será el organismo rector de la ciberseguridad, fijará la normativa técnica, fiscalizará y podrá aplicar multas de hasta 40 mil UTM ($2.600 millones). La Agencia dictará protocolos y estándares para prevenir, reportar y resolver incidentes de ciberseguridad o ciberataques.  

Estas normas regularán el funcionamiento en los Servicios Esenciales (SE) y los Operadores de Importancia Vital (OIV), estos últimos, prestadores de dichos servicios esenciales.

La ley considera los siguientes Servicios Esenciales (SE): Organismos de administración del Estado y el Coordinador Eléctrico Nacional; y los servicios prestados bajo concesión de servicio público.

Aquellos prestados por instituciones privadas bajo concesión de servicio público en los siguientes sectores:

Generación, transmisión o distribución eléctrica.

Transporte, almacenamiento o distribución de combustibles.

Suministro de agua potable o saneamiento.

Telecomunicaciones; infraestructura digital.

Servicios digitales y tecnología de la información gestionados por terceros.

Transporte terrestre, aéreo, ferroviario o marítimo.

Banca, servicios financieros y medios de pago.

Administración de prestaciones de seguridad social.

Servicios postales y de mensajería.

Prestación institucional de servicios de salud.

Producción y/o investigación de productos farmacéuticos.

La Agencia Nacional de Ciberseguridad (ANCI)

La ANCI será un servicio público cuya función será regular, fiscalizar y sancionar las acciones de los organismos que forman parte del ámbito de aplicación en materia de ciberseguridad, además, contará con un mecanismo de autorización judicial si la Agencia requiera acceder a una red o sistema informático.

La Agencia podrá calificar otros servicios como esenciales mediante resolución del o la Directora Nacional cuando su afectación puede causar un grave daño a la vida o integridad física de la población o a su abastecimiento, a sectores relevantes de las actividades económicas, al medio ambiente, al normal funcionamiento de la sociedad, de la Administración del Estado, a la defensa nacional, o a la seguridad y el orden público. Dicha calificación se someterá a consulta ciudadana.

Sanciones

Las sanciones podrán ser leves, graves y gravísimas. Entre estas últimas se considera no adoptar de forma oportuna y expedita las medidas necesarias para reducir el impacto y la propagación de un incidente de ciberseguridad o un ciberataque, cuando éste posea un impacto significativo.

Las sanciones a aplicar por la Agencia de Ciberseguridad van de 0 a 5.000 UTM ($ 64.793 valor UTM hoy) en el caso de las infracciones leves para los SE y hasta 10.000 UTM para los OIV.

Las graves hasta 10.000 UTM para los SE y 20.000 UTM para las OIV y las gravísimas hasta las 20.000 UTM para las SE y las 40.000 UTM para los OIV.